[정보보안 일반] 정보보호의 목표 - 기밀성, 무결성, 가용성, 인증성, 책임추적성
정보보호의 목표
1. 기밀성(Confidentiality)
(1) 오직 인가된 사람, 인가된 프로세스, 인가된 시스템만이 알 필요성에 근거하여 시스템에 접근해야 한다는 원칙.
(2) 기밀성은 데이터 처리의 모든 접속점에서 필요한 수준의 비밀 엄수가 강제되도록 하고, 허가받지 않은 정보 유출을 예방하는 것을 보장한다. 이러한 수준의 기밀성은 데이터가 네트워크 내의 시스템과 장비에 보관되어 있을 때나 데이터가 전송될 때 그리고 데이터가 목적지에 도달한 이후에도 유지되어야 한다.
(3) 기밀성을 보장하기 위한 보안 기술에는 접근 제어, 암호화 등이 있다.
2. 무결성(Integrity)
(1) 네트워크를 통하여 송수신되는 정보의 내용이 불법적으로 생성 또는 변경되거나 삭제되지 않도록 보호되어야 하는 성질을 말한다.
(2) 무결성 왜곡이 항상 악의적인 행동의 결과로 나타나는 것은 아니다. 전력차단과 같은 시스템 중단이 정보에 예상치 못한 변형을 일으킬 수 있다.
(3) 무결성을 보장하기 위한 보안 기술에는 접근 제어, 메시지 인증 등이 있으며, 정보가 이미 변경되었거나 변겨 ㅇ위험이 있을 때에는 이러한 변경을 탐지하여 복구할 수 있는 침입 탐지, 백업 등의 기술이 필요하다.
3. 가용성(Availability)
(1) 시스템이 지체 없이 동작하도록 하고, 합법적 사용자가 서비스 사용을 거절당하지 않도록 하는 것이다.
(2) 정보는 지속적으로 변화하고, 인가된 자가 접근할 수 있어야 함을 의미한다. 정보의 비가용성은 조직에 있어 기밀성이나 무결성의 부족만큼이나 해롭다.
(3) 가용성을 확보하기 위해서는 데이터의 백업, 중복성의 유지, 물리적 위협요소로부터의 보호 등의 보안 기술을 적용해야 한다.
4. 인증성(Authenticity)
(1) 진짜라는 성질을 확인할 수 있고, 확인 및 신뢰할 수 있다는 것을 의미한다. 그리고 전송 메시지, 메시지 출처 유효성에 대한 확신이다.
(2) 사용자가 정말 그 사용자인지와 시스템에 도착한 자료가 정말로 신뢰할 수 있는 출처에서부터 온 것인지를 확인할 수 있는 것을 의미한다.
5. 책임성(Accountability)
(1) 보안 목적에는 개체의 행동을 유일하게 추적해서 찾아낼 수 있어야 한다는 사항이 포함되어야 한다. 여기에는 부인 방지(메시지의 송수신이나 교환 후, 또는 통신이나 처리가 실행된 후에 그 사실을 사후에 증명함으로써 사실 부인을 방지하는 보안 기술), 억제, 결함 분리, 침입 탐지 예방, 사후 복구와 법적인 조치 등이 포함된다.
(2) 진정으로 안전한 시스템을 만든다는 것은 불가능하기 때문에, 보안 침해에 대한 책임이 있는 곳까지 추적할 수 있어야만 한다.
(3) 시스템은 반드시 이들의 활동 상황을 기록하고, 나중에 포렌식 분석을 하여 보안 침해를 추적할 수 있거나 전송과 관련된 분쟁을 해결할 수 있도록 해야 한다.